中國互聯(lián)網(wǎng)史上最大泄密事件的影響仍在進(jìn)一步擴(kuò)大。繼12月21日上午,有黑客在網(wǎng)上公開CSDN網(wǎng)站的用戶數(shù)據(jù)庫,導(dǎo)致600余萬個注冊郵箱賬號和與之對應(yīng)的明文密碼泄露之后,昨天,又有天涯、新浪微博、騰訊QQ、人人、開心網(wǎng)等知名網(wǎng)站的用戶稱密碼遭網(wǎng)上公開泄露。來自奇虎360的最新監(jiān)測發(fā)現(xiàn),目前網(wǎng)上公開暴露的網(wǎng)絡(luò)賬戶密碼超過1億個。
天涯社區(qū)
公開致歉已經(jīng)報案
“我在天涯的賬號已經(jīng)被黑,無法登錄。”昨天,著名編劇寧財神在微博上宣布自己的天涯賬戶被盜,無法使用。除了寧財神,龍貓蓓、A弄月公子、蕊小蕊、東方_chi等眾多新浪微博用戶都稱發(fā)現(xiàn)自己的天涯賬號于近幾日被盜。
更嚴(yán)重的是,密碼被盜后,賬戶被黑客用來惡意發(fā)帖或進(jìn)行詐騙。新浪微博用戶“成都電臺陳露”表示,他的天涯賬號被盜后,被人用來在天涯的“情感天地”發(fā)了很多廣告,導(dǎo)致助理版主將他的賬號直接封掉,而他無法和天涯社區(qū)的相關(guān)版主進(jìn)行溝通,澄清廣告并不是自己所發(fā),也無法要回賬號,十分著急。
對于天涯用戶賬號“被泄密”的規(guī)模,互聯(lián)網(wǎng)漏洞報告平臺“WooYun”昨天對外宣稱,根據(jù)他們的監(jiān)測,天涯社區(qū)有4000萬用戶的明文密碼(即用戶密碼什么樣,網(wǎng)站數(shù)據(jù)庫就存成什么樣)已泄露,“WooYun”漏洞報告平臺還公布了天涯被泄露的部分用戶密碼信息截圖。
昨天,天涯社區(qū)在網(wǎng)站首頁掛出公告,稱天涯已就用戶數(shù)據(jù)泄露一事向公安機(jī)關(guān)報案,目前尚未確認(rèn)具體的泄露數(shù)據(jù)規(guī)模及原因,但應(yīng)該低于網(wǎng)上盛傳的4000萬這一數(shù)字。可以確定的是,天涯社區(qū)與CSDN用戶數(shù)據(jù)庫泄露事件如出一轍,這次天涯社區(qū)遭公開的用戶密碼,同樣是以明文方式來保存的。天涯方面表示,此次被盜的數(shù)據(jù)為2009年之前的備份數(shù)據(jù),2010年之后,公司升級改造了天涯社區(qū)用戶賬號管理功能,使用了強(qiáng)加密算法,解決了用戶賬號的各種安全性問題。天涯方面還通過微博、郵件、手機(jī)短信、客服中心、媒體呼吁等多種渠道向用戶公開致歉,并將有針對性地提醒和幫助用戶更新或找回密碼,盡可能地將用戶損失降至最低。
“此次用戶數(shù)據(jù)被泄露雖然不是針對天涯社區(qū)一家網(wǎng)站,但確實給我們敲響了警鐘。”天涯社區(qū)總裁邢明呼吁互聯(lián)網(wǎng)同行、相關(guān)監(jiān)管機(jī)構(gòu)及政府部門直面互聯(lián)網(wǎng)誠信及安全問題,共同攜手為建立一個可信任的互聯(lián)網(wǎng)環(huán)境努力。
新浪微博
數(shù)據(jù)加密并未被盜
除了CSDN和天涯,昨天,許多騰訊QQ、新浪微博、人人網(wǎng)用戶也反映自己的賬戶和密碼被公開在網(wǎng)上,甚至有的賬號還被用來詐騙。還有網(wǎng)友稱新浪微博用戶資料疑似被泄露,并公布了疑似被盜的新浪微博數(shù)據(jù)庫下載地址,該網(wǎng)友上傳的數(shù)據(jù)庫文件顯示,共有超過476萬個用戶賬戶和密碼被泄露。
昨天,新浪微博對此回應(yīng)稱,新浪微博用戶賬號信息采用加密存儲,并未被盜。經(jīng)核實,網(wǎng)友上傳的數(shù)據(jù)絕大部分不是新浪微博賬號,“極小部分新浪微博用戶因使用和其他網(wǎng)站相同的賬號密碼,可能導(dǎo)致其微博賬號不安全。新浪已對這部分用戶做了保護(hù),并提醒所有用戶盡快進(jìn)行賬號安全設(shè)置”。
人人網(wǎng)昨天也澄清稱,自建站以來,人人網(wǎng)從未以明文方式存儲用戶的賬號和密碼,沒有任何用戶數(shù)據(jù)通過人人網(wǎng)對外泄露。但由于部分用戶使用同一個用戶名和密碼來注冊其他網(wǎng)站,所以其人人網(wǎng)賬戶也有被盜的風(fēng)險,人人網(wǎng)提醒所有與CSDN相同賬號密碼的互聯(lián)網(wǎng)用戶及時修改密碼。
騰訊方面昨天發(fā)布聲明稱,已對泄密的QQ郵箱賬號限制登錄,請這部分用戶登錄時根據(jù)提示,在QQ安全中心使用密保工具箱來修改密碼,同時建議用戶定期修改密碼,盡量不要在多個重要賬戶中使用雷同密碼,避免賬號被盜。
新浪微博
專家說法
明文密碼是罪魁禍?zhǔn)?/p>
“都是明文密碼惹的禍。”對于此次互聯(lián)網(wǎng)泄密風(fēng)波,360網(wǎng)絡(luò)安全專家石曉虹指出,最不安全的數(shù)據(jù)保存方式就是直接存儲明文,一旦數(shù)據(jù)庫泄露,黑客就可直接掌握所有密碼。有些網(wǎng)站由于用戶數(shù)據(jù)安全意識欠缺,曾經(jīng)明文保存過用戶密碼,近期被黑客公開的密碼數(shù)據(jù)庫大多屬于此類情況。據(jù)他判斷,這些數(shù)據(jù)庫實際上已經(jīng)泄露了一定的時間,只是在今年底被黑客密集曝光罷了。
互聯(lián)網(wǎng)安全專家董朋鳴指出,在此次事件中,在黑客產(chǎn)業(yè)圈中被賣了多年的數(shù)據(jù)都被拿了出來,這至少證實了網(wǎng)絡(luò)安全行業(yè)歷年來的安全警告并非空穴來風(fēng),希望IT行業(yè)和用戶的安全意識能通過這次事件有一個較大的提升。
石曉虹認(rèn)為,在網(wǎng)絡(luò)安全方面,國內(nèi)立法相對還較為滯后,對黑客盜取網(wǎng)站數(shù)據(jù)的行為目前在法律上取證較難,犯罪成本相對較低,因此迫切需要加快信息安全立法。
上海律師協(xié)會信息網(wǎng)絡(luò)與高新技術(shù)業(yè)務(wù)委員會主任商建剛表示,在互聯(lián)網(wǎng)時代,每個網(wǎng)民都不應(yīng)主動去搜集和偷窺他人的隱私。目前刑法修正案中對于盜取用戶信息其實已有明確規(guī)定,偷竊、倒賣數(shù)據(jù)庫屬于違法行為,近年來國內(nèi)已出現(xiàn)過多起因偷盜網(wǎng)游公司賬號而受到法律懲處的案例。
京公網(wǎng)安備 11010502049343號